序列化、反序列化

已于 2023-04-08 14:51:59 修改
阅读量823 收藏 1
点赞数
分类专栏: web安全 Java基础 文章标签: java jvm 算法
于 2022-11-25 23:02:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37432174/article/details/128045211
版权

一、序列化、反序列化概念

序列化(Serialization)是一种将对象以一连串的字节描述的过程,将程序中的对象,放入硬盘(文件)中保存就是序列化,如果不存放在磁盘中,而是一直存放在内存中,会增大内存的消耗;序列化就是将对象的状态信息转换为可以存储或传输的形式的过程;

反序列化(Deserialization)是一种将这些字节重建成一个对象的过程,将硬盘(文件)中的字节码重新转成对象就是反序列化。

在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。

  • 把对象的字节序列永久保存到硬盘上,通常存放在一个文件中(序列化对象)

  • 在网络上传送对象的字节序列(网络传输对象) 实际上就是将数据持久化,防止一直存储在内存当中,消耗内存资源。而且序列化后也能更好的便于网络运输何传播

  • 序列化:将java对象转换为字节序列

  • 反序列化:把字节序列回复为原先的java对象

在这里插入图片描述

二、实现序列化

只有实现了Serializable或Externalizable接口的类的对象才能被序列化,否则抛出异常

import java.io.Serializable;
public class ZslTest implements Serializable {
    private String name;
    private Integer age;
    private Integer score;

    @Override
    public String toString() {
        return "ZslTest{" +
                "name='" + name + '\'' +
                ", age=" + age +
                ", score=" + score +
                '}';
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public Integer getAge() {
        return age;
    }

    public void setAge(Integer age) {
        this.age = age;
    }

    public Integer getScore() {
        return score;
    }

    public void setScore(Integer score) {
        this.score = score;
    }
}

测试类

import java.io.*;

public class test01 {
    public static void serialize(  ) throws IOException {

        ZslTest ZslTest = new ZslTest();
        ZslTest.setName("linko");
        ZslTest.setAge( 18 );
        ZslTest.setScore( 1000 );

        ObjectOutputStream objectOutputStream =
                new ObjectOutputStream( new FileOutputStream( new File("ZslTest.txt") ) );
        objectOutputStream.writeObject( ZslTest );
        objectOutputStream.close();

        System.out.println("序列化成功!已经生成ZslTest.txt文件");
        System.out.println("==============================================");
    }

    public static void deserialize(  ) throws IOException, ClassNotFoundException {
        ObjectInputStream objectInputStream =
                new ObjectInputStream( new FileInputStream( new File("ZslTest.txt") ) );
        ZslTest ZslTest = (ZslTest) objectInputStream.readObject();
        objectInputStream.close();

        System.out.println("反序列化结果为:");
        System.out.println( ZslTest );
    }

    public static void main(String[] args) throws IOException, ClassNotFoundException {
        serialize();
        deserialize();
    }
}

结果:
在这里插入图片描述
从上面可知:
JDK类库提供的序列化API

java.io.ObjectOutputStream:表示对象输出流 它的writeObject(Object obj)方法可以对参数指定的obj对象进行序列化,把得到的字节序列写到一个目标输出流中。
java.io.ObjectInputStream:表示对象输入流
它的readObject()方法从源输入流中读取字节序列,再把它们反序列化成为一个对象,并将其返回。

直接总结:

  • 若对象仅仅实现了Serializable接口,则可以按照以下方式进行序列化和反序列化。 ObjectOutputStream采用默认的序列化方式,对象的非transient的实例变量进行序列化
    ObjcetInputStream采用默认的反序列化方式,对象的非transient的实例变量进行反序列化
  • 若对象仅仅实现了Serializable接口,并且还定义了readObject(ObjectInputStream in)writeObject(ObjectOutputSteam out),则采用以下方式进行序列化与反序列化。
    ObjectOutputStream调用对象的(重写可能存在反序列化风险writeObject(ObjectOutputStream out)的方法进行序列化
    ObjectInputStream会调用对象的(重写可能存在反序列化风险readObject(ObjectInputStream in)的方法进行反序列化
  • 若对象实现了Externalnalizable接口,且对象必须实现readExternal(ObjectInput in)writeExternal(ObjectOutput out)方法,则按照以下方式进行序列化与反序列化。
    ObjectOutputStream调用对象的(重写可能存在反序列化风险writeExternal(ObjectOutput out)的方法进行序列化
    ObjectInputStream调用对象的(重写可能存在反序列化风险readExternal(ObjectInput in)的方法进行反序列化
  • Serializable接口是个空接口,他是一个标记接口,只是做一个标记用!告诉代码只要是实现了Serializable接口的类都是可以被序列化的,然而真正的序列化动作不需要靠它完成。
    在这里插入图片描述
    跟踪源码到ObjectOutputStreamwriteObject0()
    在这里插入图片描述
    在这里插入图片描述

三、序列化的必要条件

  • 必须是同包,同名。
  • serialVersionUID必须一致。有时候两个类的属性稍微不一致的时候,可以通过将此属性写死值,实现序列化和反序列化。

证明serialVersionUID必须一致:
先手动给ZslTest对象加上serialVersionUID,序列化
在这里插入图片描述
在这里插入图片描述
手动删掉serialVersionUID
在这里插入图片描述
注释掉序列化,直接反序列化前面已经序列化的对象
在这里插入图片描述
总结:

  • serialVersionUID是序列化前后的唯一标识符
  • 默认如果没有人为显式定义过serialVersionUID,那编译器会为它自动声明一个!
  • serialVersionUID序列化ID,可以看成是序列化和反序列化过程中的“暗号”,在反序列化时,JVM会把字节流中的序列号ID和被序列化类中的序列号ID做比对,只有两者一致,才能重新反序列化,否则就会报异常来终止反序列化的过程。
  • 为了serialVersionUID的确定性,建议mplements Serializable的对象,都手动显式地为它声明一个serialVersionUID明确值!

四、静态变量序列化、父类序列化、 Transient 关键字

  • 被static修饰的字段是不会被序列化的;
    序列化保存的是对象的状态,静态变量属于类的状态,因此序列化并不保存静态变量

  • 想将父类对象也序列化,就需要让父类也实现Serializable 接口

父类没有实现 Serializable 接口时,JVM是不会序列化父对象的,但是父类不实现Serializable 接口,而他有默认的无参的构造函数,除非在父类无参构造函数中对变量进行初始化,否则父类中的变量值都是默认声明的值,如
int 型的默认是 0,string 型的默认是 null。

因为:Java对象的构造必须先有父对象,才有子对象,反序列化也不例外,所以反序列化时,为了构造父对象,只能调用父类的无参构造函数作为默认的父对象。因此当我们取父对象的变量值时,它的值是调用父类无参构造函数后的值。在父类无参构造函数中对变量进行初始化,
否则的话,父类变量值都是默认声明的值,如 int 型的默认是 0,string 型的默认是 null。

  • Transient 关键字的作用是控制变量的序列化,在变量声明前加上Transient 关键字,可以阻止该变量被序列化到文件中,在被反序列化后,transient 变量的值被设为初始值,如 int 型的是 0,对象型的是 null。
    在这里插入图片描述

五、关于RMI

RMI相关

RMI 技术是完全基于 Java 序列化技术的,服务器端接口调用所需要的参数对象来至于客户端,它们通过网络相互传输。这就涉及 RMI
的安全传输的问题。一些敏感的字段,如用户名密码(用户登录时需要对密码进行传输),我们希望对其进行加密,这时,就可以采用本节介绍的方法在客户端对密码进行加密,服务器端进行解密,确保数据传输的安全性。

偷偷学习被我发现
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Cereal序列化反序列化
07-07
Cereal支持将对象序列化为JSON、XML和二进制格式,并提供了灵活的API来自定义序列化反序列化过程。它可以序列化基本数据类型、STL容器、自定义类和结构体等。不需要安装,只需把hpp文件包含在项目即可。
Serializable详解(1):代码验证Java序列化反序列化
gao2175的博客
03-11 723
说明:本文为Serializable详解(1),最后两段内容在翻译上出现歧义(暂时未翻译),将在后续的Serializable(2)文中补充。 介绍:本文根据JDK英文文档翻译而成,本译文并非完全按照原文档字面文字直译,而是结合文档内容及个人经验翻译成更为清晰和易于理解的文字,并附加代码验证,帮助大家更好地理解Serializable。 性质:接口类 package java.io publi...
Java对象的序列化(Serialization)和反序列化详解
热门推荐
OceanSky的专栏
02-13 11万+
1.序列化反序列化 序列化(Serialization)是将对象的状态信息转化为可以存储或者传输的形式的过程,一般将一个对象存储到一个储存媒介,例如档案或记忆体缓冲等,在网络传输过程中,可以是字节或者XML等格式;而字节或者XML格式的可以还原成完全相等的对象,这个相反的过程又称为反序列化; 2.Java对象的序列化反序列化Java中,我们可以通过多种方式来创建对象,并且只要对象...
协议和序列化反序列化
最新发布
一个喜欢猫咪的程序员
02-29 465
协议”本身是一种约定俗成的东西,由通讯双方必须共同遵从的一组约定,因此我们一定要将这种约定用计算机语言表达出来,此时双方计算机才能识别约定的相关内容我们把这个规矩叫做“协议”
深入C#学习系列一:序列化(Serialize)、反序列化(Deserialize)
weixin_34195364的博客
01-13 625
    序列化又称串行化,是.NET运行时环境用来支持用户定义类型的流化的机制。其目的是以某种存储形成使自定义对象持久化,或者将这种对象从一个地方传输到另一个地方。     .NET框架提供了两种串行化的方式:1、是使用BinaryFormatter进行串行化;2、使用SoapFormatter进行串行化;3、使用XmlSerializer进行串行化。第一种方式提供了一个简单的二进制数据流以及某...
序列化反序列化(Serializable与Parcelable)
蒙的博客
07-04 722
前言:这几天在考虑写点啥笔记的时候,看到了有关于序列化的代码Serializable、Parcelable接口实现,突然意识到自己很久没关注这块的知识了,所以又给重新整理了一下相关的内容,感觉这个东西还是很有用的。希望今天整理的这篇 序列化反序列化(Serializable与Parcelable) 文章对小伙伴有所帮助。 概念简介 序列化 :由于存在于内存中的变量都是暂时的,无法长期驻...
序列化反序列化
zhc的博客
12-10 535
今天看到了一篇关于序列化反序列化的文章,转载过来 1. 什么是序列化? 程序员在编写应用程序的时候往往需要将程序的某些数据存储在内存中,然后将其写入文件或是将其传输到网络中的另一台计算机上以实现通讯。这个将程序数据转换成能被存储并传输的格式的过程被称为序列化(serialization),而它的逆过程被称为反序列化(deserialization)。   简单来说,序列化就是将对象实例的状............
C#或.net json序列化反序列化,适用于与第三方系统做接口用
05-24
C#或.net json序列化反序列化,适用于与第三方系统做接口用,实体自动转json字符串,json自动转视图
python序列化反序列化和异常处理笔记.doc
10-01
python序列化反序列化和异常处理笔记
C# 序列化反序列化
05-25
将List中的数据保存到txt中,并读取txt到list中,显示在datagridview中,练习代码,没有0分的选项,不能免费共享,sorry
详解PHP序列化反序列化的方法
12-19
下面说说php 如何进行数据的序列化反序列化的。 php 将数据序列化反序列化其实就用到两个函数,serialize 和unserialize。 serialize 将数组格式化成有序的字符串 unserialize 将数组还原成数组 例如: $user=...
目录遍历漏洞原理、解决方案
qq_37432174的博客
11-22 8541
目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。/之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。对用户传过来的文件名参数进行统一编码,对包含恶意字符或者空字符的参数进行拒绝。对用户的输入进行验证,特别是路径替代字符如“…尽可能采用白名单的形式,验证所有的输入。
XXE原理简介、防御方案
qq_37432174的博客
11-24 6336
某些应用程序允许XML 格式的数据输入和解析,可以通过引入外部实体的方式进行攻击。,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。
安全检测:会话cookie中缺少HttpOnly属性
qq_37432174的博客
01-02 5836
安全测试时,有时会检查出检测到会话cookie中缺少HttpOnly属性; 刚开始听到,就觉得怎么HttpOnly怎么这么耳熟,想了想,cookie中缺少HttpOnly,别人就可以进行XSS攻击,就是跨站脚本攻击,然后了?也许我看过,但我又给忘,好气啊,学艺不精,菜的真实,赶紧百度一下,这次记录一下,等等,貌似我以前有篇博客里有提到HttpOnly,我靠,突然嫌弃自己。 什么是HttpOnly?...
SonarQube安装、出现启动出错并解决记录、配合idea配置使用,gradle项目配置
qq_37432174的博客
11-10 4286
Sonarqube是一个功能非常强大的代码质量检查、管理的开源工具。它通过插件的形式能够识别常见的多种编程语言(例如Java, C++, Pythod等)代码质量问题。修改默认端口9000,sonar.web.port。直接解压缩,然后进入对应系统的文件夹。
unity 序列化反序列化
07-29
Unity中的序列化(Serialization)是指将对象转换为字节流的过程,而反序列化(Deserialization)则是将字节流转换为对象的过程。Unity提供了一些机制来实现对象的序列化反序列化。 Unity的序列化机制主要用于保存和加载游戏对象的状态,或者在网络传输中传递对象。以下是一些常见的序列化反序列化方法: 1. Unity的内置序列化:Unity提供了内置的序列化机制,使得你可以将脚本中的变量标记为可序列化。通过在变量前面添加 `[SerializeField]` 属性,可以将该变量标记为可序列化。例如: ```csharp [SerializeField] private int score; ``` 2. XML 和 JSON 序列化:Unity还支持使用XML或JSON格式进行序列化反序列化。你可以使用 `System.Xml.Serialization` 命名空间下的类来进行XML的序列化反序列化,或者使用JsonUtility类来进行JSON的序列化反序列化。 ```csharp // XML序列化反序列化示例 using System.Xml.Serialization; // 序列化为XML XmlSerializer serializer = new XmlSerializer(typeof(MyClass)); using (StreamWriter writer = new StreamWriter("data.xml")) { serializer.Serialize(writer, myObject); } // 从XML反序列化 using (StreamReader reader = new StreamReader("data.xml")) { MyClass myObject = (MyClass)serializer.Deserialize(reader); } // JSON序列化反序列化示例 using UnityEngine; using UnityEngine.Networking; // 序列化为JSON string json = JsonUtility.ToJson(myObject); // 从JSON反序列化 MyClass myObject = JsonUtility.FromJson<MyClass>(json); ``` 3. 二进制序列化:如果需要更高效的序列化反序列化操作,可以使用二进制格式。Unity提供了BinaryFormatter类来进行二进制的序列化反序列化。 ```csharp // 二进制序列化反序列化示例 using System.Runtime.Serialization.Formatters.Binary; // 序列化为二进制 BinaryFormatter formatter = new BinaryFormatter(); using (FileStream stream = new FileStream("data.bin", FileMode.Create)) { formatter.Serialize(stream, myObject); } // 从二进制反序列化 using (FileStream stream = new FileStream("data.bin", FileMode.Open)) { MyClass myObject = (MyClass)formatter.Deserialize(stream); } ``` 这些是Unity中常用的序列化反序列化方法,你可以根据具体的需求选择适合的方法来实现对象的序列化反序列化

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

偷偷学习被我发现

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值